Er is een kwetsbaarheid (CVE-2022-30333) geïdentificeerd in het hulpprogramma unrar, waarmee bij het uitpakken van een speciaal ontworpen archief bestanden buiten de huidige map kunnen worden overschreven, voor zover de gebruikersrechten dit toelaten. Het probleem is opgelost in de releases van RAR 6.12 en unrar 6.1.7. De kwetsbaarheid komt voor in versies voor Linux, FreeBSD en macOS, maar heeft geen invloed op versies voor Android en Windows.
Het probleem wordt veroorzaakt door het ontbreken van een goede controle van de “/..”-reeks in de bestandspaden die zijn opgegeven in het archief, waardoor het uitpakken buiten de grenzen van de basismap kan gaan. Door bijvoorbeeld “../.ssh/authorized_keys” in het archief te plaatsen, kan een aanvaller proberen het gebruikersbestand “~/.ssh/authorized_keys” te overschrijven op het moment van het uitpakken.
Bron: opennet.ru